Зачастую проверки деятельности МФО надзорными органами затрагивают аспекты соблюдения требований законодательства в области защиты персональных данных и, в том числе, необходимостью уведомления Роскомнадзора об обработке персональных данных (внесение в реестр операторов персональных данных). Многие участники рынка ссылаются на пп. 2, п. 2, ст. 22 152-ФЗ «О персональных данных» и тем самым мотивируют отсутствие необходимости уведомления Роскомнадзора.
Несмотря на то, что и такая позиция вызывает множество споров, финансовые организации, в том числе МФО и КПК, в силу специфики своей деятельности, осуществляют обработку персональных данных и тем самым попадают под определение оператора персональных данных, а значит и под действие положений ст. 19 «Меры по обеспечению безопасности персональных данных при их обработке» закона о персональных данных.
В целях исключения любых возможных рисков несоответствия деятельности МФО и КПК в сфере законодательства о персональных данных мы подготовили пакет организационно-распорядительной документации, регламентирующей получение, хранение, обработку и защиту персональных данных.
Пакет организационной-распорядительной документации подготовлен в соответствии с нормами 152-ФЗ «О персональных данных» и положениями постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и включает в себя следующие типовые документы:
- Приказ об обеспечении безопасности персональных данных, обрабатываемых в МФО/КПК с приложениями:
- Политика МФО/КПК в области обработки и обеспечения безопасности персональных данных
- Положение об обработке персональных данных в МФО/КПК
- Регламент обеспечения безопасности персональных данных в МФО/КПК
- Регламент взаимодействия МФО/КПК с субъектами персональных данных
- Инструкция работника МФО/КПК по правилам обработки персональных данных
- Типовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных МФО/КПК
- Перечень подразделений и лиц, допущенных к работе с персональными данными, обрабатываемыми в МФО/КПК
- Форма акта классификации информационной системы МФО/КПК,
- в которой ведется обработка персональных данных,Выбора актуальных типов угроз и установления уровня защищенности в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119
|